Chaque jour d’innombrables courriels d’hameçonnage sont envoyés à des victimes sans méfiance dans le monde entier. Certains d’entre eux apparaissent si bizarres qu’ils sont faciles à identifier. A l’inverse, d’autres peuvent être plus convaincants. Alors, comment faire la différence entre un message de phishing et un message légitime?
L’hameçonnage est aujourd’hui au coeur de l’ingénierie sociale. Il constitue donc une préoccupation majeure pour de nombreuses sociétés. Dans une récente enquête (Black Hat Attendee Survey réalisée lors de la conférence de Juillet 2015 aux USA) 48% des participants considèrent le l’hameçonnage et les autres risques liés à l’ingénierie sociale comme le 2ème souci le plus important pour eux avec 22% de leur budget informatique en moyenne consacré à ce sujet.
Comment reconnaître une tentative d’hameçonnage?
Malheureusement, il n’y a pas qu’une seule technique qui fonctionnerait dans toutes les situations. Il est, par conséquent, difficile de détecter un email d’hameçonnage. Cependant il existe des indices qui permettent d’éveiller les soupçons. Cet article répertorie 10 d’entre eux.
1. Le message comporte une URL bizarre
Une des premières choses que je vous recommande de vérifier dans un message e-mail suspect est l’intégrité et la cohérence de toutes les URL présentes dans le message. Souvent l’URL dans un message de phishing apparaît parfaitement valable. Toutefois, si vous passez votre souris au dessus de l’URL, vous devriez voir l’adresse réelle du lien hypertexte (au moins dans Outlook). Si l’adresse du lien hypertexte est différente de l’adresse qui est affichée en clair, alors il y a une forte probabilité que le message soit frauduleux ou malveillant.
2. Les URLs contiennent un nom de domaine trompeur
Les pirates qui utilisent la technique de l’hameçonnage pour lancer des escroqueries utilisent le plus souvent ll’ignorance, par leurs victimes, du fonctionnement et des règles de nommage liées à la structure des DNS. La dernière partie d’un nom de domaine est le plus révélateur. Par exemple, le nom de domaine office.microsoft.com serait un domaine enfant de microsoft.com parce microsoft.com apparaît à la fin du nom de domaine complet (sur le côté droit), ce qui peut laisser penser que le domaine appartient bien à Microsoft. Inversement, microsoft.com32.info ne saurait évidemment pas provenir de microsoft.com parce que la référence à microsoft apparaît au début (sur la partie gauche) du lien complet.
ATTENTION, dans la réalité, le domaine microsoft.com32.info existe vraiment. N’essayez donc pas d’y accéder car vous risquez l’installation d’un ransomware qui bloquera votre navigateur web en se faisant passer pour les autorités et vous réclamera le paiement d’une amende.
J’ai vu cette astuce utilisée de nombreuses fois par des artistes de l’hameçonnage pour essayer de convaincre les victimes qu’un message provient bien d’une société comme Microsoft ou Apple. L’artiste du phishing crée simplement un domaine enfant portant le nom de Microsoft, Apple, Windows, ou autre. Le nom de domaine résultant ressemble à ceci: microsoft.com32.info ou encore windows-crash-report.info/Windows/
3. Le mail contient des fautes d’orthographe ou de grammaire
Chaque fois qu’une grande entreprise envoie un message au nom de la société dans son ensemble, le message est généralement vérifié au niveau, entre autres, de l’orthographe, de la grammaire et de la légalité. Donc, si vous recevez un message rempli de fautes de grammaire ou d’orthographe, il a très peu de chance qu’il émane du département juridique d’une grande société.
4. Le message vous demande des informations personnelles
Peu importe à quoi un email officiel pourrait ressembler, c’est toujours un mauvais présage si le message vous demande des renseignements personnels. Votre banque n’a pas besoin de vous pour connaître votre numéro de compte! C’est elle qui vous l’a attribué. De même, une entreprise digne de confiance réclamera jamais votre mot de passe, votre numéro de carte de crédit, ou la réponse à une question de sécurité par e-mail.
5. L’offre contenue dans le mail est trop belle pour être vraie
Il y a un vieil adage qui dit que si quelque chose semble trop beau pour être vrai, alors ça l’est probablement. Ceci est particulièrement vrai pour les messages électroniques. Si vous recevez un message d’une personne inconnue qui fait de belles promesses, c’est probablement d’une arnaque.
6. Vous n’avez rien demandé
Ce matin encore, j’ai reçu un message m’informant que j’avais gagné le gros lot à la loterie !!!! Le seul problème, c’est que je n’ai acheté aucun billet de loterie. Si vous recevez un message vous informant que vous avez gagné un concours, un lot à loterie ou que sais-je encore sans avoir participé volontairement à quoi que ce soit, vous pouvez parier que le message est une arnaque.
7. On vous demande d’envoyer de l’argent pour payer des frais
Un signe révélateur d’un email d’hameçonnage est qu’on vous finit par vous demander de l’argent. Il est possible qu’on ne vous demande rien dans le message initial. Mais tôt ou tard, les escrocs au phishing vont probablement vous demander de l’argent pour couvrir des frais, taxes, redevances, ou quelque chose de semblable. Si cela se produit, vous pouvez être quasiment certain qu’il s’agit d’une arnaque.
8. Le message vous adresse des menaces irréalistes
Bien que la plupart des escroqueries par phishing tentent de tromper les gens en leur demandant de l’argent ou des informations sensibles en leur promettant des gains d’argent instantanés, certains artistes de l’hameçonnage utilisent l’intimidation pour effrayer les victimes en donnant des informations. Si un message fait des menaces irréalistes, il s’agit probablement d’une arnaque.
Il ya 10 ans, je reçus un message électronique, d’apparence officielle, émanant prétendument de ma banque. Tout dans le message semblait complètement légitime, sauf une chose. Le message prétendait que la sécurité de mon compte avait été compromise et que si je ne remplissais pas un formulaire (sur lequel on me demandait mon numéro de compte) ainsi que deux pièces d’identité avec photo, mon compte serait fermé et mes biens saisis.
Je ne suis pas un avocat, mais je suis sûr qu’il est illégal pour une banque de fermer votre compte et de saisir vos biens simplement parce que vous n’avez pas répondu à un message électronique. De plus, le seul compte que j’ai eu dans cette banque était un crédit pour l’achat d’un véhicule. Il n’y avait pas de dépôt à saisir. Je n’avais aucun compte de dépôt ou d’épargne dans cette banque.
9. Le mail semble émaner d’un service public (impôts, sécurité sociale, …)
Les professionnels de l’hameçonnage qui veulent recourir à l’intimidation ne se présentent pas toujours comme une banque. Parfois, ils vont envoient des messages prétendant provenir d’un organisme public. Le Trésor, la direction des impôts, la police, le tribunal ou toute autre entité susceptible d’effrayer ou de tenter le citoyen moyen respectueux de la loi sont souvent utilisés.
Les organismes publics n’utilisent pratiquement jamais l’e-mail comme moyen de contact initial. Cela ne veut pas dire que organismes gouvernementaux et ceux chargés de l’application de la loi n’utilisent jamais d’e-mails. Toutefois, les organismes chargés d’appliquer la loi suivent certains protocoles. Ils ne participent pas à l’extorsion de fonds par-email, du moins selon mon expérience.
10. Il y a quelque chose qui vous semble suspect
Les équipes de sécurité des casinos sont formées à regarder tout ce qui leur semble suspect. L’idée est que si quelque chose vous semble bizarre, il ya probablement une bonne raison à cela. Ce même principe vaut presque toujours pour les e-mails. Si vous recevez un message qui semble suspect, il est généralement dans votre intérêt d’éviter d’agir sur ce message.
Comment éviter que votre personnel se fasse piéger?
Tous les professionnels s’accordent sur un fait. La première chose à faire consiste à mener des campagnes de sensibilisation et de formation du personnel. En effet la sécurité de l’information est une responsabilité collective de tous les employés et pas seulement du personnel informatique ou chargé de la sécurité. C’est donc l’ensemble du personnel qui doit être formé.
Nous vous conseillons également la lecture de notre article : Phishing, mode d’emploi.
Quelles formations choisir?
Il est inutile de dépenser votre argent dans des formations inutiles. Il faut d’abord sensibiliser le personnel non informatique. Cette sensibilisation portera sur l’hameçonnage et les autres aspects de l’ingénierie sociale. Des séances de sensibilisation de quelques heures (4 à 8 heures) sont suffisantes. Inutile donc de former l’ensemble du personnel sur des formations ISO 27001 Foundation ou ISO 27001 Lead Implémenter… Ces formations sont réservées aux spécialistes de la sécurité impliqués dans l’implémentation d’un système de management de la sécurité, en vue de la certification de l’Entreprise.
Pour le Conseil d’Administration et le Comité de Direction
Pour sensibiliser le Conseil d’Administration et les membres du Comité de Direction sur les risques et leurs responsabilités en matière de sécurité de l’information :
COBIT® 5 pour le Board et les Exécutifs (1 jour)
RESILIA – Sensibilisation (1 jour)
Introduction à la sécurité du SI basée sur ISO 27001 / ISO 27002 (1 jour)
Pour le personnel non informatique
RESILIA – Sensibilisation (1 jour)
Introduction à la sécurité du SI basée sur ISO 27002 (1 jour)
Pour le personnel du département informatique
ISO 27001 Foundation (3 jours) – Pour les organisations souhaitant implémenter un système de management de la sécurité de l’information basé sur ISO 27001
ISO 27002 Foundation (3 jours) – Bonnes pratiques de mise en oeuvre de la sécurité de l’information dans une entreprise ne cherchant pas la certification ISO 27001
RESILIA Foundation (3 jours) – Bonnes pratiques en matière de cyber-sécurité et de cyber-résilience. S’intègre parfaitement avec ITIL®
Pour le personnel spécialisé en sécurité de l’information
ISO 27001 Practitioner (2 jours) – Pour les personnels chargés de la sécurité dans une organisation implémentant ou ayant implémenté un système de management de la sécurité basé sur ISO 27001
ISO 27002 Advanced (3 jours) – Expertise dans l’application de bonnes pratiques de gestion de la sécurité décrites dans ISO 27002
RESILIA Practitioner (2 jours) – Pour les personnels en charge de mettre en oeuvre et d’appliquer les bonnes pratiques de cyber-sécurité et de cyber-résilience dans l’Entreprise
NIST Implementation based on COBIT® 5
Pour les équipes de contrôle interne ou d’audit interne
ISO 27001 Auditor (2 jours)
Pour les experts et les consultants / auditeurs
ISO 27001 Lead Implementer (5 jours)
ISO 27001 Lead Auditor (5 jours)
CISM – Certified Information Security Manager (4 jours)
CISSP – Certified Information Systems Security Professional (5 jours)
2AB & Associates, spécialiste de la sécurité et de la résilience, et seul Organisme de formation accrédité par les organisations internationales (ISACA, ISO, ANSI, AXELOS, APMG, EXIN, PEOPLECERT, PECB) en Afrique, vous propose toute sa gamme des formations accréditées. Nous pouvons également vous proposer nos services d’implémentation et d’audit sur ces domaines ainsi que sur la Gouvernance et le Management de votre système d’information.
Pour tout complément d’information ou si vous avez été vous-même victime d’une tentative d’hameçonnage (phishing), merci de nous laisser votre commentaire.